Rote_Orange
Cadet 3rd Year
- Registriert
- Juni 2018
- Beiträge
- 63
Hallo zusammen,
ich arbeite gerade an einer Xamarin-App und habe ein kleines "Verständnis" Problem, welches ich auch durch Google bisher nicht lösen konnte. Vl. ist ja hier jemand dabei, der mir einen Tipp geben kann.
Konkret geht es darum, dass ich eine App habe, welche mit einer REST-API kommuniziert. In der API gibt es u.a. eine Registrierungsmethode und eine Loginmethode für Anwender. Die API/Der Server verschlüsselt dann das Passwort und speichert es in einer Datenbank ab. Soweit so gut.
Nun zu den Fragen:
1. Ich möchte ja nicht das Benutzerpasswort im Klartext durchs Internet schicken, bevor es verschlüsselt wird. Also hashe ich es schon in der APP. Aber wo speichere ich jetzt den SecurityKey dazu in der App? Beim dekompilieren findet man den ja ruckzuck. Und über die API kann ich den auch nicht anfragen lassen, dann kann ich ihn auch gleich in der App speichern...
2. Eigentlich quasi das gleiche Problem: In der API habe ich zusätzlich zum benötigten Login auch noch einen API-Key eingebaut. Aber wie soll ich auch den in der App speichern?
Android Apps lassen sich ja extrem leicht dekompilieren. Daher möchte ich die App absichern.
Ich muss ehrlich zugeben, dass ich bisher als Entwickler nur in gesicherten Umgebungen, also VPN geschützten oder lokalen Netzwerken usw. zugange war. Das "offen für alle" Szenario ist mir neu. Deswegen verstehe ich auch noch nicht so ganz wie ich das lösen soll.
Vl. findet sich ja jemand, der mich erleuchtet und mir eine Lösung präsentiert oder meine Herangehensweise sachdienlich kritisiert und mich auf die richtige Fährte bringt.
Lg.
Rote_Orange
ich arbeite gerade an einer Xamarin-App und habe ein kleines "Verständnis" Problem, welches ich auch durch Google bisher nicht lösen konnte. Vl. ist ja hier jemand dabei, der mir einen Tipp geben kann.
Konkret geht es darum, dass ich eine App habe, welche mit einer REST-API kommuniziert. In der API gibt es u.a. eine Registrierungsmethode und eine Loginmethode für Anwender. Die API/Der Server verschlüsselt dann das Passwort und speichert es in einer Datenbank ab. Soweit so gut.
Nun zu den Fragen:
1. Ich möchte ja nicht das Benutzerpasswort im Klartext durchs Internet schicken, bevor es verschlüsselt wird. Also hashe ich es schon in der APP. Aber wo speichere ich jetzt den SecurityKey dazu in der App? Beim dekompilieren findet man den ja ruckzuck. Und über die API kann ich den auch nicht anfragen lassen, dann kann ich ihn auch gleich in der App speichern...
2. Eigentlich quasi das gleiche Problem: In der API habe ich zusätzlich zum benötigten Login auch noch einen API-Key eingebaut. Aber wie soll ich auch den in der App speichern?
Android Apps lassen sich ja extrem leicht dekompilieren. Daher möchte ich die App absichern.
Ich muss ehrlich zugeben, dass ich bisher als Entwickler nur in gesicherten Umgebungen, also VPN geschützten oder lokalen Netzwerken usw. zugange war. Das "offen für alle" Szenario ist mir neu. Deswegen verstehe ich auch noch nicht so ganz wie ich das lösen soll.
Vl. findet sich ja jemand, der mich erleuchtet und mir eine Lösung präsentiert oder meine Herangehensweise sachdienlich kritisiert und mich auf die richtige Fährte bringt.
Lg.
Rote_Orange
